第 19 章 监控和日志记录
日志管理是监控 OpenStack 部署安全状态的重要组件。除了组成 OpenStack 部署的组件活动外,日志还深入了解管理员、项目和实例的 BAU 操作。
日志不仅对主动安全性和持续合规活动有价值,它们也是调查和事件响应的宝贵信息源。例如,分析 keystone 访问日志可能会提醒您失败的登录、其频率、原始 IP 以及事件是否仅限于选择帐户,以及其他相关信息。
director 包括使用 AIDE 的入侵检测功能,以及 keystone 的 CADF 审计。如需更多信息,请参阅 强化基础架构和虚拟化。
19.1. 强化监控基础架构
集中式日志记录系统是入侵者的高值目标,因为成功的破坏可能会允许它们清除或篡改事件记录。建议您使用以下命令强化监控平台。另外,请考虑对这些系统进行常规备份,并在出现中断或 DoS 时进行故障转移规划。